» vsftpd авторизация AD

добрый день. появилась такая необходимость. куча статей в инете, но нигде нет рабочего примерна или объяснения как это сделать. я так понял что надо настраивать через pam_ldap. в файл cat /etc/pam.d/vsftpd
auth required pam_ldap.so
account required pam_permit.so
session required pam_limits.so
прописал это, в логах при авторизации пишет:
] <authc="user"> failed to bind to LDAP server ldapi://ad.domain.local/: Can't contact LDAP server: No such file or directory
<authc="user"> no available LDAP server found: Can't contact LDAP server: No such file or directory

может кто знает нормальную инструкцию по настройке фтп сервера с авторизацией через ад или скинет свои конфиги. фтп сервер не принципиально какой использовать

ОС используете какую или не принципиально (ставите с нуля) ?

стоит убунта, ставлю все с нуля

Этот сервер должен быть включен в домен Windows (вы же это уже сделали?).
В самом конфигурационном файле vsftpd.conf точно должна быть строка указывающая имя файла по пути /etc/pam.d/имя_файла:

Код: pam_service_name=имя_файла
session_support=YES

спасибо. забыл включить систему в домен. теперь действительно он авторизуется, но пишет что 500 OOPS: cannot change directory:/home/DOMAIN/ftp_user. я погуглил - SELinux у меня выключен

Код: # getenforce
Disabled

Зачем включать его в домен? Про LDAP у AD можно и так спросить, имея соответствующую учетку (какого-нить сервисного пользователя) Ну, а дальше тут

А так очень похоже на неверный конфиг vsftpd

Цитата:

А так очень похоже на неверный конфиг vsftpd

f=а что в нем не верного? я пробовал кучу различных параметров, как то все без толку

Jeison_M

Цитата:

а что в нем не верного?

я немного пофилософствую. vsftpd заточен на максимальную безопасность. чтобы все могли ходить в одну папку, не находящуюся в домашней директории пользователя, есть два пути:

1. Ходить анонимусом в папку по-умолчанию (что не устраивает по условиям задачи)
2. Монтировать всем эту папку в домашний каталог
3. Отключить chroot (не помню, можно ли)

По п.2: vsftpd не даст ходить по симлинкам. На FreeBSD меня выручает mount nullfs, в Линуксе что-то такое тоже есть

Есть мнение, что надо вам взять ProFTFD и не мучаться.

Jeison_M
ошибка вызвана скорее всего тем, что у вас нет домашнего каталога для этого пользователя на сервере.
мы используем SFTP на базе стандартного пакета openssh: добавляем в /etc/ssh/sshd_config

Код: Subsystem sftp internal-sftp

Match Group группа_из_АДэ (посмотреть wbinfo -g)
ChrootDirectory /sftp/ (соответственно путь к каталогу ФТП)
ForceCommand internal-sftp

к сожалению sftp использовать не получиться, т.к. люди находятся удаленно и объяснять им как настроить sftp нет возможности.
появилась новая напасть - необходимо настроить фпт сервер без ввода его в домен. Как посоветовал Sadok делал вот по этой статье http://z1kk0.blogspot.ru/2013/10/vsftpd-ldap-debian-wheezy.html и ничего не получается. в логи валятся ошибки, что LDAP не может подключиться к серверу.
ошибки гуглит - ничего вразумительного не нашел.
опять же - может у кого то есть рабочии конфиги?

Jeison_M
Это простейший, но наименее удовлетворительный способ использования ADirectory для проверки подлинности, поэтому с конфигами не помочь.
Та статья, о юниксовом лдап сервере, вам нужен Active Directory, посмотрите на эту статью, возможно что-то станет понятно.

плюнул я на все это, поставил CrushFTP. все заработало из коробки + куча других гибких настроек. это конечно не Unix-way но зато работает

и правильно, главное результат)!